V2EX = way to explore
V2EX 是一个关于分享和探索的地方
现在注册
已注册用户请  登录
LEXUGE
V2EX  ›  DNS

dcompass v0.2.0 发布:真正可编程的 DNS 服务

  •  1
     
  •   LEXUGE · 2022-06-22 15:42:49 +08:00 · 3316 次点击
    这是一个创建于 888 天前的主题,其中的信息可能已经有所发展或是发生改变。

    dcompass 是一款高性能且可编程的 DNS 工具,使用 Rust 编写

    新版本加入了基于 rhai 的脚本式处理功能,相较于之前基于 yaml 的自定义插件等增强了可读性和灵活性。

    rhai 是一门类 Rust 的动态脚本语言。下面是一个使用 rhai 和 dcompass 自带的 Geo IP 插件进行防污染的范例:

    script:
      init: |
        let geoip = new_geoip_from_path("../data/full.mmdb").seal();
      route: |
        let resp = upstreams.send("domestic", query);
    
        let ans = resp.answer[0];
        switch ans.rtype.to_string() {
          "A" if !geoip.contains(ans.to_a().ip, "CN") => { upstreams.send("secure", query) }
          "AAAA" if !geoip.contains(ans.to_aaaa().ip, "CN") => { upstreams.send("secure", query) }
          _ => resp
        }
    

    在 v0.2.0 版本中,整个 DNS Message 的所有 sections (header, questions, answers, additional, authority) 的所有内容都被完整映射并可以在脚本中访问。结合脚本本身灵活的逻辑判断和流程控制能力,dcompass 可以更加紧凑地实现在之前冗长甚至不可能的规则定义。

    目前 dcompass 自带的 utilities 有 Geo IP 插件,域名列表插件,IP CIDR 插件,并支持 DoH, DoT, 和 UDP 的上游转发。未来将支持更多上游协议,有其他插件需求也欢迎留言。

    后续版本中将加入对 DNS Message 各个部分的编辑功能,来实现对各个 bitflag 和 record 的灵活控制。

    欢迎批评指正!

    15 条回复    2022-06-24 14:49:41 +08:00
    adoal
        1
    adoal  
       2022-06-22 18:51:14 +08:00
    看这架势很快会有人实现类似 dnsmasq 的 ipset 分流功能……
    Buges
        2
    Buges  
       2022-06-22 19:06:35 +08:00 via Android
    之前看到过,灵活性不够,就去用 mosdns 了。支持脚本了倒是不错。我的一个基本需求是:对每个不在已知列表的域名,并发向境外 doh 查询两条请求,一条带 ecs 一条不带,如果结果 ip 是 cn ,丢弃以上两条结果再直接向运营商 dns 查询并返回,如果不是,丢弃带 ecs 的结果返回另一个。
    LEXUGE
        3
    LEXUGE  
    OP
       2022-06-22 20:06:40 +08:00
    @Buges 目前尚不支持添加 EDNS record ,后续更新后可以较为直接地实现你的需求。对需求有两点疑问:1. 为什么不先请求运营商的 DNS 并根据返回判断,目前的污染都是指向境外 IP 。因为可以先请求运营商,对非 CN 结果再作下一步处理 2. 为什么最后丢弃带 ECS 的结果?
    Buges
        4
    Buges  
       2022-06-22 20:37:29 +08:00 via Android
    @LEXUGE 原因很简单,直接请求境内 dns (无论是否运营商提供、无论是否 doh/dot )会把访问的**所有被代理的域名**全部暴露给有关部门,国内 isp 53 和 80 端口上行可是全部镜像的。现在是返回污染结果,日后就是照着日志上门喝茶了。
    第二点则是隐私考虑。正常使用是不用 esc 的,这里提到的 esc 是从 china ip 列表中随便选一个确定是国内的 IP ,而非我自己的 ip ,用以指示境外 doh 解析器对境内有 CDN 的网站返回 cn 节点。如果返回的结果是 cn ip ,说明是境内网站,再用运营商 dns 解析以确保最优化。如果返回的不是 cn ip ,说明该网站无 cn 接入点或不支持 esc ,那么按照普通境外网站处理,返回正常境外 doh 解析的结果。

    以上提到的 doh 请求全部是走代理发送,因为是并发两次所以延迟增加不大,对 cn 网站的第三次请求运营商 dns 因为是直连也很快,所以这套方案确保隐私、自动分流的同时访问延迟增加不大。
    Buges
        5
    Buges  
       2022-06-22 20:41:59 +08:00 via Android
    @LEXUGE 另外这是我之前的配置,后来经过某网友提示又写了个 mosdns 插件,会把所有经过这个流程确定归属的域名分别记录到两个单独的文件中,下次启动后直接作为分流列表加载,就不需要再次判断了。这样有了自动学习功能性能影响更小,还可以不定期的把生成的记录文件 upstream 给上游规则。你作为这类工具开发者强烈建议内置一个同类功能,并鼓励用户帮助完善分流规则,这样能极大的改善规则质量。
    LEXUGE
        6
    LEXUGE  
    OP
       2022-06-22 23:10:49 +08:00
    @Buges 感谢建议。此外也有现成的请求域名匹配规则集如 https://github.com/felixonmars/dnsmasq-china-list/
    Buges
        7
    Buges  
       2022-06-23 06:13:39 +08:00 via Android
    @LEXUGE 当然,现成的境内域名列表和境外域名列表都是正在用的,但它们不能总是匹配每一个域名,我第一句就说了“不在已知列表的域名”。这套方案为不在列表的域名提供自动分流同时反过来学习记录提高已知列表域名的质量。
    zzl22100048
        8
    zzl22100048  
       2022-06-23 14:32:25 +08:00
    脚本里面怎么自己构造 response 返回呢?想要实现 xip 功能
    LEXUGE
        9
    LEXUGE  
    OP
       2022-06-23 22:45:40 +08:00
    @zzl22100048
    在最新的 build 中,可以参考如下代码实现自定义 response:
    ```
    let resp = query;
    // 表明这个 DNS message 是 response
    resp.qr = true;

    // 在不同的 section 加入 resource record ,目前支持创建 TXT ,A ,AAAA record ,欢迎 file issue 来表明你的需求。
    // query.first_question.qname 是第一个 question 的请求“域名”, 3600 是 TTL
    resp.push_additional(create_record(query.first_question.qname, "IN", 3600, create_txt("vfs.global")));
    resp.push_answer(create_record(query.first_question.qname, "IN", 3600, create_a("127.0.0.1")));
    resp.push_answer(create_record(query.first_question.qname, "IN", 3600, create_aaaa("0000:0000:0000:0000:0000:0000:0000:0000")));
    ```
    LEXUGE
        10
    LEXUGE  
    OP
       2022-06-23 22:47:29 +08:00
    也可以参考 README 中 quickstart 里的示例快速添加 EDNS Client Subnet record:

    script:
    route: |
    let query = query;

    // Optionally remove all the existing OPT pseudo-section(s)
    // query.clear_opt();

    query.push_opt(create_client_subnet(15, 0, "23.62.93.233"));

    upstreams.send("secure", query)
    LEXUGE
        11
    LEXUGE  
    OP
       2022-06-23 23:00:14 +08:00
    简单实现了一个 XIP 功能,对于非法格式会返回 SERVFAIL 。可以进一步判断 qtype 来正确支持 A 和 AAAA resource record 。
    ```yaml
    script:
    route: |
    let resp = query;
    resp.header.qr = true;

    let ip = query.first_question.qname.to_string();
    ip.replace(".xip.io", "");

    resp.push_answer(create_record(query.first_question.qname, "IN", 3600, create_a(ip)));

    resp
    ```
    zzl22100048
        12
    zzl22100048  
       2022-06-24 10:59:52 +08:00
    @LEXUGE 看了下 rhai 文档,稍微改了下


    ```
    script:
    route: |
    let resp = query;
    resp.header.qr = true;

    let ip = query.first_question.qname.to_string();
    if ip.ends_with("xip.io"){
    ip.replace(".xip.io","");
    let ip=ip.split_rev(".");
    if ip.len<4 {
    return upstreams.send("domestic", query);
    }
    let r=r.extract(0..4);
    print(r);
    let ip = ip.reduce_rev(
    |sum, v,i|if i==3 {v} else{sum+"."+v}
    );
    resp.push_answer(create_record(query.first_question.qname, "IN", 3600, create_a(ip)));
    return resp;
    }
    upstreams.send("domestic", query)
    ```
    LEXUGE
        13
    LEXUGE  
    OP
       2022-06-24 12:24:29 +08:00
    @zzl22100048 嗯,如果你需要对非 IP 前缀返回上游解析结果的话,可以这样写:


    try {
    resp.push_answer(create_record(qname, "IN", ttl, 3600, create_a(ip)));
    } catch {
    return upstreams.send(...);
    }

    直接把 replace 后的结果放入 create_a 尝试创建 A rdata ,如果 ip 并不是一个合法的 IPv4 地址,那么 create_a 就会出错,然后执行 catch 部分并返回上游结果。

    这样做的话可以避免拆分再重建域名部分,更加简单,也可以提升性能。
    zzl22100048
        14
    zzl22100048  
       2022-06-24 13:30:54 +08:00
    @LEXUGE 需要处理多级子域名配合 k8s 的 ingress
    例如:sub.sub.example.192.168.1.1.xip.io -> 192.168.1.1 有更高效的方式吗
    LEXUGE
        15
    LEXUGE  
    OP
       2022-06-24 14:49:41 +08:00
    @zzl22100048 那或许你目前的做法比较合适。如果需要高效的话可能直接在 Rust 中实现一个函数并在脚本中调用会更快
    关于   ·   帮助文档   ·   博客   ·   API   ·   FAQ   ·   实用小工具   ·   1134 人在线   最高记录 6679   ·     Select Language
    创意工作者们的社区
    World is powered by solitude
    VERSION: 3.9.8.5 · 26ms · UTC 18:56 · PVG 02:56 · LAX 10:56 · JFK 13:56
    Developed with CodeLauncher
    ♥ Do have faith in what you're doing.